Epsilon Red Ransomware

Eine neue Angriffskampagne nutzt Schwachstellen in Microsoft Exchange-Servern, um eine Ransomware-Bedrohung namens Epsilon Red bereitzustellen. Die Epsilon Red Ransomware wurde von Forschern entdeckt, als sie einen Angriff auf ein US-amerikanisches Hotelunternehmen untersuchten. Es wird angenommen, dass sich die Hacker auf die ProxyLogon-Sicherheitslücken verlassen, um Computer im Netzwerk zu erreichen. Diese besonderen Exploits wurden als äußerst schwerwiegend eingestuft. Schätzungen zufolge wurden in weniger als einem Monat fast 92% der anfälligen lokalen Microsoft Exchange-Server mit dem Sicherheitsupdate gepatcht, mit dem das Problem behoben wurde. Wie die Epsilon Red Ransomware-Kampagne jedoch zeigt, finden Hacker immer noch ungesicherte Ziele, die sie ausnutzen können.

Angriffseigenschaften

Bevor das Epsilon Red an das beschädigte System geliefert und die Verschlüsselungsroutine aktiviert wird, liefern die Bedrohungsakteure eine beträchtliche Anzahl von Skripten, die jeweils eine andere Aufgabe ausführen. Zu diesen Aufgaben gehören das Löschen der Shadow Volume-Kopien, das Beenden verschiedener Prozesse und Dienste im Zusammenhang mit Sicherheitsprodukten, Datenbanken, Sicherungsprogrammen usw., das Löschen von Windows-Ereignisprotokollen, das Deaktivieren von Windows Defender, die vollständige Deinstallation bestimmter Sicherheitstools und der Diebstahl des SAM (Security Account Manager) Datei, die Passwort-Hashes und mehr enthält. Eines der abgelegten Skripte scheint eine Kopie eines Penetrationstest-Tools namens Copy-VSS zu sein.

Die Hacker stellen außerdem eine Kopie eines kommerziellen RAS-Programms namens Remote Utilities sowie den Tor-Browser auf den gefährdeten Systemen bereit. Die Hacker planen höchstwahrscheinlich, diese als Backup-Zugangspunkt zu verwenden.

Die Epsilon Red Ransomware verschlüsselt wahllos

Die Epsilon Red Ransomware ist in der Sprache Golang (Go) geschrieben und scheint nicht die Politur zu haben, die normalerweise bei professionellen Malware-Codierern zu finden ist. Darüber hinaus verschlüsselt das Epsilon Red alle gefundenen Dateien, auch wenn es sich um wichtige ausführbare Dateien und DLLs handelt, die bei Manipulationen zu Systemabstürzen führen können. An jede verschlüsselte Datei wird '.epsilonred' als neue Erweiterung an ihren ursprünglichen Namen angehängt. Die Bedrohung übermittelt dann ihren Lösegeldschein mit einer Kopie der Anweisungen, die in jedem Ordner mit gesperrten Daten erstellt wurden.

Es ist zu beachten, dass Epsilon Red eine Variation der Lösegeldnotiz verwendet, die von der REvil Ransomware- Bedrohung gelöscht wurde. Der Hauptunterschied besteht darin, dass sich die Hacker hinter Epsilon Red die Zeit genommen haben, einige der Grammatik- und Rechtschreibfehler in der Originalnotiz zu bereinigen.

Obwohl die Epsilon Red-Hacker nur für relativ kurze Zeit aktiv waren, haben sie bereits Angriffskampagnen gegen verschiedene Ziele gestartet und möglicherweise bereits ein Lösegeld von 4,28 BTC (Bitcoin) gesammelt, das zu diesem Zeitpunkt rund 210.000 US-Dollar betrug.